Due zero-day critici, scoperti e sfruttati attivamente nell’arco di pochi giorni l’uno dall’altro. Non è un esercizio teorico: nella prima settimana di aprile 2026, Google Chrome e Fortinet FortiClient EMS si sono trovati al centro di campagne di attacco reali, con exploit già circolanti prima che le patch ufficiali fossero disponibili. La CISA — l’agenzia americana per la sicurezza delle infrastrutture — ha dovuto emettere direttive d’emergenza per i sistemi federali. Se stai ancora aspettando il momento giusto per aggiornare, quel momento è adesso.
Chrome CVE-2026-5281: una falla nel motore WebGPU
Il 1° aprile 2026, Google ha rilasciato un aggiornamento di sicurezza per Chrome che copriva 21 vulnerabilità, ma una in particolare ha fatto scattare i campanelli d’allarme: CVE-2026-5281, una use-after-free nella libreria Dawn, l’implementazione open source e multipiattaforma dello standard WebGPU.
WebGPU è il successore di WebGL: consente alle pagine web di sfruttare la GPU del computer per rendering 3D ad alte prestazioni e calcoli paralleli. Dawn è il componente che fa da ponte tra il browser e i driver grafici del sistema operativo — un componente profondo, privilegiato, e storicamente fertile di vulnerabilità.
La falla consente a un attaccante remoto che ha già compromesso il processo renderer del browser di eseguire codice arbitrario tramite una pagina HTML appositamente costruita. La condizione “renderer già compromesso” potrebbe sembrare una attenuante, ma nella pratica degli exploit chain — sequenze di vulnerabilità incatenate — si tratta di uno step intermedio molto comune.
Chi ha trovato il bug e quando è stato sfruttato
Il ricercatore che ha scoperto e segnalato CVE-2026-5281 si identifica con lo pseudonimo _86ac1f1587b71893ed2ad792cd7dde32_ — un hash, probabilmente MD5, usato come firma anonima. Lo stesso ricercatore aveva già segnalato due vulnerabilità precedenti in Dawn, corrette con aggiornamenti di marzo 2026. Tre segnalazioni sullo stesso componente nello spazio di settimane suggeriscono che qualcuno sta conducendo una ricerca sistematica e approfondita sulla superficie d’attacco di WebGPU.
Google ha confermato che un exploit per CVE-2026-5281 esisteva già in circolazione prima del rilascio della patch. La CISA ha aggiunto la vulnerabilità al suo Known Exploited Vulnerabilities (KEV) catalog il 1° aprile 2026, imponendo alle agenzie federali civili statunitensi di applicare la correzione entro il 15 aprile 2026.
Le versioni corrette di Chrome sono la 146.0.7680.177/178 per Windows e macOS, e la 146.0.7680.177 per Linux. Opera ha già rilasciato le proprie build aggiornate (versione 129.0.5823.65 per Opera One); Microsoft Edge era ancora in fase di rilascio patch al momento della pubblicazione delle prime analisi. Browser come Vivaldi, Brave e tutti i derivati Chromium ereditano questa classe di vulnerabilità fino a quando non incorporano le correzioni upstream.
Fortinet FortiClient EMS: CVE-2026-35616, autenticazione bypassata completamente
Pochi giorni dopo, il quadro si è complicato ulteriormente. Il 5 aprile 2026 — un sabato — Fortinet ha rilasciato hotfix d’emergenza per CVE-2026-35616, una vulnerabilità di improper access control in FortiClient EMS (Enterprise Management Server) con CVSS score di 9.1.
FortiClient EMS è il server di gestione centralizzata per gli endpoint protetti dalla suite Fortinet: governa configurazioni, policy di rete, telemetria e accesso VPN di tutti i dispositivi gestiti all’interno di un’organizzazione. Un server compromesso, in altri termini, equivale ad avere le chiavi dell’intera infrastruttura di sicurezza endpoint.
La vulnerabilità permetteva a un attaccante non autenticato — senza credenziali, senza interazione dell’utente — di inviare richieste API costruite ad hoc che il server non riusciva a verificare né autorizzare correttamente. Il risultato: esecuzione di codice arbitrario sul server, con pieno accesso alle configurazioni e ai dati di tutti gli endpoint gestiti.
Oltre 2.000 server esposti: numeri reali
La scoperta e la segnalazione responsabile sono opera della società di sicurezza Defused e del ricercatore Nguyen Duc Anh. Defused ha osservato i primi tentativi di sfruttamento attivo sulle proprie honeypot già il 31 marzo 2026 — quattro giorni prima del rilascio della patch. Questo significa che gli attaccanti avevano scoperto e stavano già usando la vulnerabilità come zero-day reale.
Shadowserver, organizzazione non profit che monitora le superfici di attacco esposte su internet, ha identificato oltre 2.000 istanze di FortiClient EMS accessibili pubblicamente, con la maggior parte concentrate in Stati Uniti e Germania. Ognuna di queste istanze era teoricamente compromettibile senza credenziali.
Le versioni affette sono FortiClient EMS 7.4.5 e 7.4.6; la versione 7.2 non risulta vulnerabile. La correzione definitiva sarà inclusa nella versione 7.4.7, ma gli hotfix emergenziali per le versioni colpite sono già disponibili. Vale la pena notare che si tratta del secondo zero-day critico in FortiClient EMS nel giro di poche settimane: il precedente, CVE-2026-21643 (SQL injection), era già stato sfruttato dopo che la patch era rimasta non applicata in molte organizzazioni.
CISA alza il livello di allerta: scadenza federale al 9 aprile
Il 6 aprile 2026, la CISA ha aggiunto CVE-2026-35616 al catalogo KEV, fissando per le agenzie federali civili statunitensi una scadenza di soli tre giorni: il 9 aprile 2026. Si tratta di una delle finestre di rimediazione più brevi mai imposte, a indicare la gravità e l’urgenza percepita dall’agenzia.
Il KEV catalog non è solo una lista di avvisi: è una direttiva vincolante per il governo americano, ma nella pratica serve anche da segnale d’allerta per il settore privato globale. Quando la CISA classifica una vulnerabilità come “attivamente sfruttata” e ne impone la correzione urgente, l’indicazione implicita è che gli attaccanti non stanno aspettando.
Per Chrome CVE-2026-5281, la scadenza federale è il 15 aprile 2026 — più ampia, coerente con la natura client-side della vulnerabilità, che richiede comunque una ricerca della vittima e un vettore di consegna (phishing, sito malevolo, pubblicità compromessa). Per Fortinet, il vettore è diretto: rete aperta, nessuna interazione richiesta.
Cosa fare adesso: checklist operativa
Per chi gestisce sistemi aziendali o semplicemente usa un browser ogni giorno, il messaggio è semplice:
- Aggiorna Chrome subito alla versione 146.0.7680.177/178 o superiore. Non basta che l’aggiornamento sia scaricato in background: bisogna riavviare il browser perché la nuova versione sia attiva. Verifica su chrome://version/.
- Se usi Edge, Brave, Vivaldi o Opera: controlla che siano disponibili aggiornamenti e applicali. Tutti questi browser condividono il motore Chromium e la libreria Dawn.
- Se gestisci istanze FortiClient EMS: verifica immediatamente la versione installata. Se sei su 7.4.5 o 7.4.6, applica l’hotfix disponibile sul portale Fortinet. Valuta anche se l’EMS debba essere esposto su internet o possa essere isolato dietro VPN o firewall perimetrale.
- Controlla i log alla ricerca di richieste API anomale o non autenticate verso FortiClient EMS a partire dal 31 marzo 2026.
La mia lettura
Quello che mi colpisce di questa settimana non è tanto la gravità tecnica delle singole vulnerabilità — zero-day su browser e dispositivi di sicurezza esistono da sempre — quanto la velocità con cui il divario tra scoperta degli attaccanti e divulgazione pubblica si sta assottigliando. In entrambi i casi, l’exploit era già in circolazione prima che la patch fosse disponibile. Nel caso di Fortinet, gli attaccanti erano al lavoro sulle honeypot quattro giorni prima che chiunque nel settore potesse difendersi.
C’è anche un dato strutturale che merita attenzione: FortiClient EMS aveva già avuto un zero-day critico settimane prima, anch’esso sfruttato dopo ritardi nella patch. Il pattern suggerisce o una ricerca sistematica condotta da gruppi avanzati, o — più preoccupante — che le versioni 7.4.x di FortiClient EMS abbiano una superficie di attacco con problemi architetturali nell’autenticazione delle API. Due zero-day sullo stesso prodotto in poche settimane non è rumore statistico.
Sul fronte Chrome, la scelta di mantenere l’anonimato attraverso un hash MD5 da parte del ricercatore che ha trovato tre vulnerabilità consecutive in Dawn è insolita e curiosa. Potrebbe essere un ricercatore di sicurezza indipendente con un lavoro sistematico su WebGPU, ma potrebbe anche indicare qualcuno che preferisce non essere identificato mentre continua la ricerca. In ogni caso, Dawn è chiaramente diventata una superficie prioritaria per chi caccia vulnerabilità nei browser — e con la crescente adozione di WebGPU per applicazioni AI e 3D nel browser, questa superficie non farà che espandersi.
Il punto finale è questo: la CISA ha dato tre giorni alle agenzie federali americane per patchare Fortinet. Tre giorni. Quante organizzazioni italiane, pubbliche e private, hanno un processo di patch management che consente tempi simili? La risposta, purtroppo, la conosco già.